姜建滿(mǎn) 范賢根 崔玉順

1.安徽職業(yè)技術(shù)學(xué)院 安徽省合肥市 230000 2.安徽江淮汽車(chē)集團(tuán)股份有限公司 安徽省合肥市 230000

1 引言

特斯拉感知算法未檢測(cè)出白色卡車(chē)車(chē)廂的致死事故；Uber 決策系統(tǒng)失誤，碰撞違規(guī)穿越馬路行人的交通事故等，一度將自動(dòng)駕駛車(chē)輛的安全問(wèn)題推向行業(yè)的研究熱點(diǎn)。與傳統(tǒng)車(chē)輛的不同，自動(dòng)駕駛車(chē)輛會(huì)發(fā)生在電子電器系統(tǒng)沒(méi)有發(fā)生故障的情況下，出現(xiàn)非預(yù)期的行為，即預(yù)期功能安全的問(wèn)題。自動(dòng)駕駛車(chē)輛在極端天氣（雨、雪、霧、風(fēng)等）、光照條件等多種因素均會(huì)導(dǎo)致感知系統(tǒng)感知能力不足，如惡劣的環(huán)境會(huì)造成數(shù)據(jù)造成增大、傳感器視野受限等。ISO21448 道路車(chē)輛——預(yù)期功能安全標(biāo)準(zhǔn)中將觸發(fā)條件定義為導(dǎo)致自動(dòng)駕駛系統(tǒng)后續(xù)出現(xiàn)危害行為的特定場(chǎng)景條件。

然而，現(xiàn)有關(guān)于自動(dòng)駕駛預(yù)期功能安全的研究分析多為定性分析某一系統(tǒng)或者某一功能的低級(jí)別自動(dòng)駕駛車(chē)輛；關(guān)于觸發(fā)條件的分析是基于整車(chē)級(jí)的危害映射到感知-決策-執(zhí)行的性能缺陷，從性能缺陷再映射到觸發(fā)條件，缺乏正向地系統(tǒng)地對(duì)導(dǎo)致自動(dòng)駕駛車(chē)輛出現(xiàn)非預(yù)期行為的觸發(fā)條件進(jìn)行建模和計(jì)算。本文提出一種自動(dòng)駕駛感知系統(tǒng)預(yù)期功能安全觸發(fā)條件的建模方法，通過(guò)對(duì)自動(dòng)駕駛感知系統(tǒng)觸發(fā)事件鏈貝葉斯網(wǎng)絡(luò)的計(jì)算，預(yù)測(cè)自動(dòng)駕駛非預(yù)期功能安全是否發(fā)生。

2 自動(dòng)駕駛感知系統(tǒng)功能不足和性能局限性分析

首先，根據(jù)可能引起自動(dòng)駕駛預(yù)期功能安全的感知系統(tǒng)功能不足和性能局限，構(gòu)建雨、雪、霧；光線(xiàn)不足和視覺(jué)盲區(qū)觸發(fā)事件鏈的貝葉斯網(wǎng)絡(luò)。

根據(jù)系統(tǒng)工程理論，將引起自動(dòng)駕駛感知系統(tǒng)預(yù)期功能安全的觸發(fā)條件看作一個(gè)各種要素相互聯(lián)系作用形成的系統(tǒng)，與觸發(fā)條件相關(guān)的各要素可以劃分為：輸入要素、狀態(tài)要素和輸出要素。輸入要素指影響自動(dòng)駕駛感知系統(tǒng)預(yù)期功能安全的外部因素的集合，主要道路結(jié)構(gòu)、交通設(shè)施、臨時(shí)事件、參與者、環(huán)境信息和自車(chē)狀態(tài)。狀態(tài)要素用于描述觸發(fā)條件在演化過(guò)程中的性質(zhì)和特征，包括以上六層模型的屬性及屬性之間的關(guān)聯(lián)關(guān)系。輸出要素表示觸發(fā)條件引發(fā)的后果，包括感知過(guò)程方面如原始數(shù)據(jù)的失真、缺失以及噪聲等；認(rèn)知過(guò)程方面如未識(shí)別出目標(biāo)物、目標(biāo)物分類(lèi)錯(cuò)誤及參數(shù)誤差等。

從輸入、狀態(tài)和輸出三個(gè)層面描述可能導(dǎo)致自動(dòng)駕駛預(yù)期功能安全的觸發(fā)變量，作為貝葉斯網(wǎng)絡(luò)變量，并建立貝葉斯網(wǎng)絡(luò)，然后按照三者之間的關(guān)聯(lián)關(guān)系將三個(gè)貝葉斯網(wǎng)絡(luò)進(jìn)行合并，形成雨、雪、霧；光線(xiàn)不足和視覺(jué)盲區(qū)事件鏈貝葉斯網(wǎng)絡(luò)。雨、雪、霧；光線(xiàn)不足和視覺(jué)盲區(qū)三個(gè)子事件貝葉斯網(wǎng)絡(luò)的變量描述見(jiàn)下表1 所示，其中黑體字體表示子事件的共有事件關(guān)聯(lián)變量，斜體字表示共有損失輸出變量。

表1 自動(dòng)駕駛感知系統(tǒng)貝葉斯網(wǎng)絡(luò)中的變量

上表可以看出，雨、雪、霧和光線(xiàn)不足的共有事件關(guān)聯(lián)變量為={}，共有損失輸出變量集合為={、、、}，光線(xiàn)不足貝葉斯網(wǎng)絡(luò)和視覺(jué)盲區(qū)貝葉斯網(wǎng)絡(luò)的共有事件關(guān)聯(lián)變量為={}，共有損失變量合集為={、、}，將指派給雨、雪、霧貝葉斯網(wǎng)絡(luò)，指派給光線(xiàn)不足網(wǎng)絡(luò)，以與為連接點(diǎn)將雨、雪、霧；光線(xiàn)不足和視覺(jué)盲區(qū)三個(gè)貝葉斯網(wǎng)絡(luò)關(guān)聯(lián)；以和為連接點(diǎn)合并雨、雪、霧；光線(xiàn)不足和視覺(jué)盲區(qū)事件損失輸出后，整體損失輸出為LO={lo、lo、lo}形成雨、雪、霧；光線(xiàn)不足和視覺(jué)盲區(qū)事件鏈的貝葉斯網(wǎng)絡(luò)。

3 自動(dòng)駕駛感知系統(tǒng)觸發(fā)條件的貝葉斯網(wǎng)絡(luò)構(gòu)建

分析自動(dòng)駕駛感知系統(tǒng)外部環(huán)境條件雨、雪、霧；光線(xiàn)不足和視覺(jué)盲區(qū)事件鏈貝葉斯網(wǎng)絡(luò)的條件概率。

（1）輸入對(duì)狀態(tài)的影響。子事件雨、雪、霧關(guān)聯(lián)子事件光線(xiàn)不足，對(duì)于的任一狀態(tài)變量S∈S，若直接與輸入變量相連接，則發(fā)生概率如下：

（2）狀態(tài)對(duì)狀態(tài)的影響。對(duì)于子事件中任一狀態(tài)變量S∈S，若不受輸入變量影響，則發(fā)生概率如下：

（3）狀態(tài)對(duì)輸出的影響。，，，…S，為有關(guān)聯(lián)關(guān)系的影響自動(dòng)駕駛感知系統(tǒng)預(yù)期功能安全觸發(fā)事件，，，…EN的狀態(tài)變量集合，O為觸發(fā)事件EN的輸出變量集合，則對(duì)任一事件EN中任一輸出變量O∈O，有下列概率關(guān)系：

EN的輸出變量集合O包含兩部分，一部分成為其他事件的輸入變量，另一部分為子事件EN的損失輸出變量，若同時(shí)又是其他事件的共有損失輸出變量，則可以作為觸發(fā)事件鏈貝葉斯網(wǎng)絡(luò)的整體損失輸出變量集合LO中的變量。

LO={lo｜1 ≤≤}為觸發(fā)事件鏈貝葉斯網(wǎng)絡(luò)的整體損失輸出，LO O且滿(mǎn)足下列概率關(guān)系：

其中，lo表示觸發(fā)事件鏈對(duì)外部環(huán)境的第類(lèi)損失的整體損失輸出，表示關(guān)聯(lián)合并的子事件貝葉斯網(wǎng)絡(luò)的個(gè)數(shù)。

4 感知系統(tǒng)預(yù)期功能安全觸發(fā)事件鏈的貝葉斯網(wǎng)絡(luò)推理

最后，進(jìn)行自動(dòng)駕駛感知系統(tǒng)預(yù)期功能安全觸發(fā)事件鏈的貝葉斯網(wǎng)絡(luò)推理，預(yù)測(cè)觸發(fā)條件事件鏈模型下自動(dòng)駕駛非預(yù)期功能安全是否發(fā)生。

設(shè)觸發(fā)事件鏈貝葉斯網(wǎng)絡(luò)中輸入變量集I和狀態(tài)變量集S中部分狀態(tài)變量為證據(jù)變量，S中其余的狀態(tài)變量和輸出變量O為目標(biāo)變量，根據(jù)證據(jù)變量的取值，可以計(jì)算目標(biāo)變量各種取值的后驗(yàn)概率。

根據(jù)證據(jù)變量的取值信息計(jì)算其他目標(biāo)變量的取值概率。

依據(jù)公式（1）、（2）與（S｜，，…）判斷該觸發(fā)事件是否發(fā)生，若發(fā)生則繼續(xù)計(jì)算其他狀態(tài)變量的取值概率，并根據(jù)公式（3）計(jì)算輸出變量的取值概率，否則停止計(jì)算，從而得到觸發(fā)事件鏈貝葉斯網(wǎng)絡(luò)中各目標(biāo)變量的后驗(yàn)概率。

匯總各觸發(fā)事件的狀態(tài)與輸出

根據(jù)上述步驟得到的后驗(yàn)概率，將狀態(tài)變量S取值為1 的概率大于取值為0 的概率的各子事件的狀態(tài)變量集合，，…S，及其損失變量輸出變量，，…LO，中的變量進(jìn)行匯總。

觸發(fā)事件鏈的狀態(tài)是其鏈上各子事件狀態(tài)變量的集合，其概率分布為：

根據(jù)可能引起自動(dòng)駕駛感知系統(tǒng)預(yù)期功能安全的觸發(fā)條件事件鏈的狀態(tài)變量集合，整體損失輸出變量集合的取值概率，可預(yù)測(cè)與初始觸發(fā)條件相關(guān)聯(lián)的其他觸發(fā)條件的關(guān)鍵狀態(tài)及觸發(fā)條件事件鏈給自動(dòng)駕駛車(chē)輛帶來(lái)的非預(yù)期功能安全。

5 結(jié)語(yǔ)

文中提出一種自動(dòng)駕駛感知系統(tǒng)預(yù)期功能安全觸發(fā)條件的建模方法，通過(guò)對(duì)自動(dòng)駕駛感知系統(tǒng)觸發(fā)事件鏈貝葉斯網(wǎng)絡(luò)的計(jì)算，預(yù)測(cè)自動(dòng)駕駛非預(yù)期功能安全是否發(fā)生。首先，統(tǒng)一抽象自動(dòng)駕駛感知系統(tǒng)預(yù)期功能安全觸發(fā)事件鏈模型，根據(jù)預(yù)期功能安全觸發(fā)條件內(nèi)部各要素間關(guān)聯(lián)關(guān)系建立輸入、狀態(tài)和輸出三層結(jié)構(gòu)；其次，構(gòu)建觸發(fā)條件事件鏈貝葉斯網(wǎng)絡(luò)，確定網(wǎng)絡(luò)中各變量的先驗(yàn)概率和條件概率集合；最后，明確觸發(fā)條件事件鏈間的關(guān)聯(lián)模式，形成自動(dòng)駕駛感知系統(tǒng)觸發(fā)事件鏈貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)觸發(fā)條件引發(fā)的可能導(dǎo)致自動(dòng)駕駛非預(yù)期功能安全的連鎖反應(yīng)過(guò)程進(jìn)行預(yù)測(cè)和分析。